15. Разработка плана тестирования bcp

Описание проводимого в компании «МАКр» контроля для угроз, с учетом целей контроля по CobIT 4.1, с оценкой эффективности контроля приведены в таблице 15.

Таблица 15 – Описание и оценка эффективности контроля

ID риска	Угроза	Высокоуровневая цель контроля	Детальная цель контроля	Описание контроля	Оценка эффективности контролей (0 - контроль отсутствует, 3 - контроль внедрен и эффективен)
RSK-1	Угроза вирусного заражения	DS 5. Обеспечение безопасности систем	DS 5.1. Управление ИТ-безопасностью	Установлены антивирусное ПО (Cloud MTS Anti-virus protection service)	1
RSK-2	Угроза вирусного заражения	DS 5. Обеспечение безопасности систем	DS 5.1. Управление ИТ-безопасностью	Установлены антивирусное ПО (Cloud MTS Anti-virus protection service)	1
RSK-3	Угроза вирусного заражения	DS 5. Обеспечение безопасности систем	DS 5.1. Управление ИТ-безопасностью	Установлены антивирусное ПО (Cloud MTS Anti-virus protection service)	1
RSK-4	Угроза вирусного заражения	DS 5. Обеспечение безопасности систем	DS 5.1. Управление ИТ-безопасностью	Установлены антивирусное ПО (Cloud MTS Anti-virus protection service)	1
RSK-5	Угроза вирусного заражения	DS 5. Обеспечение безопасности систем	DS 5.1. Управление ИТ-безопасностью	Установлены антивирусное ПО (Cloud MTS Anti-virus protection service)	1
RSK-6	Угроза вирусного заражения	DS 5. Обеспечение безопасности систем	DS 5.1. Управление ИТ-безопасностью	Установлены антивирусное ПО (Cloud MTS Anti-virus protection service)	1
RSK-7	DDoS-атака на сервер	DS 3. Управление производительностью и мощностями	DS 3.5. Мониторинг и отчетность	Установлено средство мониторинга "Pingdom"	2
RSK-8	Угроза уязвимостей СУБД	DS 5. Обеспечение безопасности систем	DS 5.6. Определение инцидентов в сфере безопасности	Установлено средство мониторинга "Pingdom", Установлены антивирусное ПО (Cloud MTS Anti-virus protection service)	1
RSK-9	НСД	DS 5. Обеспечение безопасности систем	DS 5.3. Управление идентификацией	На всех компьютерах, установлены пароли, выдающиеся сотруднику при устройстве, пароли обновляются	2
RSK-10	Ошибки в настройке системы	AI 3. Приобретение и обслуживание технологий инфраструктуры	AI 3.3. Обслуживание инфраструктуры	Установлен модуль "Администратор", включающий базовый контроль за настройкой системы	2
RSK-11	Пользователь совершает действия, не предусмотренные	AI 2. Приобретение и поддержка программных приложений	AI 2.2. Детальный дизайн приложений	Используются проверенные отечественные программы	1
RSK-12	инструкциями Ошибки в настройке системы	AI 3. Приобретение и обслуживание технологий инфраструктуры	AI 3.3. Обслуживание инфраструктуры	Установлен модуль "Администратор", включающий базовый контроль за настройкой системы	2
RSK-13	Слабые пароли	DS 5. Обеспечение безопасности систем	DS 5.4. Управление учетными записями пользователей	Вводятся требования к паролю	3
RSK-14	Ошибки конфигурирования	DS 5. Обеспечение безопасности систем	DS 5.10. Сетевая безопаснсость	За настройкой сетевого оборудования наблюдает тех. специалист	2
RSK-15	Обход злоумышленником защиты сетевого экрана	DS 5. Обеспечение безопасности систем	DS 5.6. Определение инцидентов в сфере безопасности	Используются отечественные алгоритмы шифрования	1
RSK-16	Персонал забывает пароли	DS 5. Обеспечение безопасности систем	DS 5.4. Управление учетными записями пользователей	Пароли можно восстановить по заявлению	2
RSK-17	Персонал забывает пароли	DS 5. Обеспечение безопасности систем	DS 5.4. Управление учетными записями пользователей	Пароли можно восстановить по заявлению	2
RSK-18	Персонал записывает пароли на бумаге	DS 7. Обучение и подготовка пользователей	DS 7.2. Проведение тренингов и обучение	Работникам делаются выговоры	1